‘Apple neemt enorm risico met ondermaatse privacy-bescherming’
Lars Paymans

Met het imago van Apple lijkt het misschien alsof het bedrijf zijn privacy-zaakjes op orde heeft. Een groep onderzoekers van drie universiteiten beweert nu het tegenovergestelde en slaat alarm over de ondermaatse Differential Privacy beveiliging.

‘Apples Differential Privacy beveiliging zwaar ondermaats’

Een tijdje terug introduceerde Apple Differential Privacy, een beveiligingsmaatregel om de privacy van gebruikers te waarborgen. Vandaag trekt een team van geschoolde onderzoekers wederom deze techniek in twijfel, omdat uit tests zou blijken dat de beveiliging niet zo krachtig is als Apple zou beweren.

De onderzoekers (zo schrijft Wired) zijn afkomstig van de Universiteit van Californië, de Indiana University en China’s Tsinghua University. Ze sloegen de handen ineen en besloten de code die Apple voor Differential Privacy gebruikt te kraken. “De beveiliging bleek zo slecht dat het haast zinloos is”, zo luidt de conclusie.

Lees ook: Apples Differential Privacy: zo beschermt iOS 10 jouw gegevens

differential privacy beveiliging

De techniek van Apple werkt als volgt. Omdat Apple persoonlijke data wil verzamelen voor het verbeteren van diensten, besluit het bedrijf deze te verstoppen. Door de persoonlijke info van gebruikers bij elkaar te gooien, samen met een grote hoeveelheid nepdata, zou het in theorie onmogelijk zijn om na te gaan welke gegevens bij welke persoon horen.

Zorgwekkende conclusies

Hoe meer ‘ruis’ Apple toevoegt, hoe lastiger het wordt om de bruikbare data eruit te pikken. De kwaliteit van deze ruis wordt uitgedrukt in de zogenaamde ‘Epsilon Value’. Deze waarde is in de ideale situatie 1, alles wat hoger ligt kan gevaren voor de beveiliging betekenen. “De waardes die Apple gebruikt zijn erg zorgwekkend”, aldus het onderzoek.

Zo blijkt dat iOS 10 een Epsilon Value van 14 heeft en macOS het met een waarde van 6 moet doen. Zelfs Frank McSherry, een van de bedenkers van Differential Privacy schrikt hiervan. “Een waarde van 14 gebruiken is zo goed als zinloos”, legt hij uit. “Apple zegt zorgvuldig om te gaan met je data, maar doet dit blijkbaar niet.” Dit zorgt er in sommige gevallen voor dat de identiteit van een persoon met 100 procent zekerheid kan worden vastgesteld in een tijdsbestek van twee dagen.

differential privacy beveiliging

In een reactie slaat Apple het onderzoek af, en beschuldigt het bedrijf de onderzoekers van onwetendheid over hoe ze techniek toegepast hebben. Het bedrijf stelt dat ze alle data van verschillende systemen bij elkaar gooien, in plaats van ze afzonderlijk te behandelen. Bovendien worden in dit proces gegevens als het IP-adres en andere kenmerken verwijderd, wat de beveiliging ten goede komt.

Volgens de onderzoekers schept dit weer een heel nieuw risico: gebruikers moeten maar vertrouwen op Apple dat de data niet misbruikt wordt en het bedrijf zich aan de regels houdt. Terwijl een betere standaardbeveiliging het niet eens mogelijk maakt voor Apple om dit soort gegevens in te zien.

Zo deel je geen gegevens meer

Ben je na het lezen van dit artikel van gedachte veranderd over het delen van je gegevens met Apple? Doorloop dan onderstaande stappen om het uit te zetten.

  1. Open de Instellingen-app;
  2. Ga naar Privacy;
  3. Scroll naar beneden en tik op analyse;
  4. Zet de schakelaar achter ‘Deel iPhone- en Watch-analyse’ uit.

Draag ook bij aan dit artikel

Deel je kennis of stel een vraag. Dat kan anoniem of met een Disqus account.